Ricercatori nel Regno Unito hanno dimostrato come grandi pagamenti contactless non autorizzati possono essere effettuati su iPhone bloccati sfruttando Apple Pay 's Express Transit quando impostato con Visa.
Express Transit è un servizio Apple Pay funzionalità che consente il pagamento tap-and-go alle barriere dei biglietti, eliminando la necessità di autenticarsi con Face ID, Touch ID o un passcode. Il dispositivo non ha bisogno di essere riattivato o sbloccato per utilizzare Express Transit.
Ricercatori di informatica delle università di Birmingham e Surrey hanno dimostrato al BBC come funziona l'attacco sfruttando un punto debole del sistema contactless Visa attraverso l'uso di un piccolo pezzo di apparecchiatura radio disponibile in commercio, che viene posizionato vicino al telefono e si maschera da barriera per i biglietti.
Un telefono Android che esegue un'app sviluppata dai ricercatori viene utilizzato per trasmettere segnali dal i phone a un terminale di pagamento senza contatto e modifica le comunicazioni per ingannare il terminale facendolo agire come se l'iPhone è stato sbloccato e un pagamento autorizzato.
Nel dimostrare l'attacco, i ricercatori hanno effettuato un pagamento Visa contactless di £ 1.000 da un iPhone. Gli scienziati hanno prelevato denaro solo dai propri conti. I ricercatori hanno affermato che il telefono Android e il terminale di pagamento utilizzati non devono necessariamente essere vicini all'iPhone finché c'è una connessione a Internet.
Apple ha detto al BBC la questione era un problema con il sistema Visa.
quando esce il nuovo iPad Air?
'Prendiamo molto seriamente qualsiasi minaccia alla sicurezza degli utenti', ha affermato Apple. 'Questo è un problema con un sistema Visa, ma Visa non crede che questo tipo di frode possa aver luogo nel mondo reale, dati i molteplici livelli di sicurezza in atto. Nell'improbabile eventualità che si verifichi un pagamento non autorizzato, Visa ha chiarito che i suoi titolari di carta sono protetti dalla politica di responsabilità zero di Visa.'
I ricercatori hanno affermato che l'attacco potrebbe essere più facile da implementare contro un iPhone rubato, anche se non ci sono prove che l'hack sia stato usato in natura. Visa ha affermato che i pagamenti erano sicuri e che attacchi di questo tipo erano impraticabili al di fuori di un laboratorio.
quando uscirà il nuovo iPhone nel 2021?
'Le carte Visa collegate ad Apple Pay Express Transit sono sicure e i titolari dovrebbero continuare a usarle con fiducia', ha affermato un portavoce di Visa. 'Variazioni di schemi di frode senza contatto sono state studiate in ambienti di laboratorio per più di un decennio e si sono rivelate poco pratiche da eseguire su larga scala nel mondo reale.'
I ricercatori hanno detto al BBC hanno contattato per la prima volta Apple e Visa con le loro preoccupazioni quasi un anno fa, ma nonostante le conversazioni 'utili', il problema non è stato ancora risolto. I ricercatori hanno anche testato Express Transit con Mastercard, ma hanno scoperto che il modo in cui funziona la sua sicurezza ha impedito l'attacco.
'Ha una certa complessità tecnica', ha affermato la dott.ssa Andreea Radu, dell'Università di Birmingham, che ha guidato la ricerca. 'Ma sento che le ricompense derivanti dall'attacco sono piuttosto alte. In pochi anni questi potrebbero diventare un vero problema.'
Il dottor Tom Chothia, anche lui dell'Università di Birmingham, ha consigliato iPhone agli utenti di verificare se hanno una carta Visa configurata per utilizzare Express Transit e, in tal caso, disabilitarla. 'Non c'è bisogno di Apple Pay gli utenti sono in pericolo, ma finché Apple o Visa non lo risolvono, lo sono', ha affermato.
Riepilogo correlato: Apple Pay Tag: Visto , Transito espresso Forum correlato: Apple Music, Apple Pay/Card, iCloud, Fitness+
Messaggi Popolari